Seguridad, Información Digital y
el problema de los Datos
Personales en la Nube.
Dra. Flavia Meleras Bekerman
Email: [email protected]
www.isaca.org.uy
AGENDA:
1. Ley de Protección de
Datos Personales…4 años
después.
2. Cloud Computing:
Protección de Datos y sus desafíos
legales.
www.isaca.org.uy
Aplicación de la Ley de Protección
de Datos Personales,
…4 años después.
www.isaca.org.uy
Su empresa ya
cumplió con la Ley
de Protección de
Datos Personales ?
• La consultora Kroll en sociedad con
The Economist Intelligence Unit,
destacó que el 75% de las
empresas registraron algún tipo de
violación de Seguridad en el año
2011.
• Un 70% de los entrevistados (1275
ejecutivos de todo el mundo)
identificaron que las violaciones
vinieron de un funcionario interno
o proveedor.
• El 23% de las violaciones
correspondieron a fugas de
datos personales de la
empresa o de los clientes.
www.isaca.org.uy
www.isaca.org.uy
PRINCIPIOS y OBLIGACIONES
CORRELATIVAS DE LAS EMPRESAS:
Legalidad
Veracidad
Responsabilidad
Reserva
Seguridad
www.isaca.org.uy
Finalidad
Previo
Consentimiento
Informado
www.isaca.org.uy
Unidad Reguladora y de Control de
Datos Personales (URCDP) podrá
aplicar las siguientes sanciones a los
RESPONSABLES
y
a
los
ENCARGADOS de TRATAMIENTO:
A)Realizar las inspecciones incluso a terceros
B) Solicitar ante la justicia competente las medidas
pertinentes, cuando exista riesgo de pérdida de la
prueba.
C) Comunicar las actuaciones al responsable de la base de
datos o encargado de tratamiento a efectos de otorgarle
vista (10 días)
www.isaca.org.uy
Artículo 32.- Multas. El monto tope de las multas
hasta 500.000 UI (Unidades Indexadas).
Artículo 33.- Suspensión de la base de datos
hasta por 6 días hábiles.
www.isaca.org.uy
Resolución URCDP sobre cómo
graduar las sanciones administrativas
(acorde cambios Ley 18.719 de
Presupuesto Nacional 2010 - 2014 ):
GRADUACIÓN: LEVE, GRAVE o MUY
GRAVE.
Enumeración no taxativa de las eventuales
conductas infractoras y su correlativa
sanción a imponer.
Se atenderá a la gravedad, reiteración o
reincidencia.
www.isaca.org.uy
www.isaca.org.uy
SE ACTUALIZARON BASE
DE DATOS YA INSCRIPTAS
(Resolución 1647/2010)
Decreto 424/09 NUEVAS
BASES DE DATOS
INSCRIBIRSE HASTA 90
DÍAS DESP. CREACIÓN
URCDP
DENUNCIAS ON LINE
O PRESENCIAL
PUBLICADA LISTA de
RESPONSABLES BASE
DE DATOS YA
INSCRIPTAS
LISTA PUBLICADA PAISES
CON NIVEL DE PROTECCIÓN
ADECUADO
www.isaca.org.uy
DICTAMEN URCDP 6/2011
Compatibilidad facultades inspección URCDP y deber
confidencialidad empresa de sus clientes por secreto profesional
SENTENCIA TCA 353/2011
Destitución funcionario BROU por brindar información personal a
terceras personas: CULPA GRAVE
SENTENCIA TCA 340/2011
Suspensión funcionario OSE por utilizar sistema de OSE para
descargar videos y fines personales. Sin goce sueldo.
SENTENCIA CIVIL 2 TURNO 41 / año 2009
Condenada empresa por D y P por incluir a persona en BD de
Deudores cuando ya no lo era.
www.isaca.org.uy
ESTADISTICAS 2011 – URCDP
Fuente: MemoriaURCDP 2011
OBSERVACIONES
CONSULTAS
 42

8
SUSPENSIÓN DE
BASES DE DATOS
DE
 Patentes
OFICIO
DENUNCIAS
MULTA
 106
1
www.isaca.org.uy
106 Denuncias: PRINCIPALES
MOTIVOS:
SPAM
VIDEOVIGILANCIA
sin aviso
Inclusión en base de
datos en instituciones
crediticias
Comunicación de
datos sin permiso
Derecho al olvido debido a la
inclusión en un sitio web
oficial de una sanción que ya
caducó
www.isaca.org.uy
DELITOS PENALES relacionados :
Robo Identidad
Delito de
Revelación de
Secretos
www.isaca.org.uy
Hurto especialmente
agravado por copia
video de Seguridad
Daños y Perjuicios
por Difamación
Cloud Computing
www.isaca.org.uy
www.isaca.org.uy
La evolución
tecnológica y la de los
negocios no puede
estar disociada de la
evolución y la
seguridad jurídica.
www.isaca.org.uy
¿Qué es el Cloud Computing?
Modelo de prestación de servicios tecnológicos
que permite el acceso bajo demanda y a través
de la red a un conjunto de servicios:
correo
electrónico,
almacenamiento
de
documentos, aplicaciones varias de contabilidad,
bases de datos, compartir documentación e
información con clientes sin necesidad de
disponer de servidores o software ya que los
datos se encuentran en algún lugar de Internet.
www.isaca.org.uy
www.isaca.org.uy
www.isaca.org.uy
www.isaca.org.uy
UBICACIÓN DE LOS DATOS PERSONALES…
riesgos en cuanto a su proteccióN
Datos almacenados “en la nube” se encuentren físicamente en
un momento en un servidor ubicado en cualquier punto del
planeta y rápidamente en otro.
Ventajas: En materia de seguridad a quien quiera violarla se le
dificulta seguir esos datos que mudan permanentemente de
servidor.
Desventajas: DIFICULTAD en el caso de que los servidores se
encuentren en terceros países en los que no exista un nivel de
protección de datos equivalente al Europeo o al Convenio de
Porto Seguro.
www.isaca.org.uy
•SI DATOS PERSONALES se transmiten y tratan
fuera de Uruguay
•Responsable establecido en Uruguay
•hay TRANSFERENCIA INTERNACIONAL DE
DATOS y hay casos que se debe solicitar
autorización de URCDP.
No se considera comunicación o cesión
de datos el acceso por parte de un
Encargado de tratamiento, que resulte
necesario para la prestación de un
servicio al responsable, salvo que este
acceso implique la existencia de un
nuevo vínculo entre el encargado del
tratamiento y el titular.
www.isaca.org.uy
Ranking de los 3 países hacia donde se realiza
la mayor cantidad de transferencias
internacionales de datos desde Uruguay como
país de origen:
www.isaca.org.uy
ENCARGADO DE TRATAMIENTO
Prestación de servicios informatizados de datos
personales. Artículo 30.
Cuando por cuenta de terceros se presten servicios de
tratamiento de datos personales, éstos no podrán
aplicarse o utilizarse con un fin distinto al que figure en el
contrato de servicios, ni cederlos a otras personas, ni
aún para su conservación.
Una vez cumplida la prestación contractual los datos
personales tratados deberán ser destruidos, salvo que
medie autorización expresa ….en cuyo caso se podrá
almacenar con las debidas condiciones de seguridad por
un período de hasta dos años.
www.isaca.org.uy
MEDIDAS DE SEGURIDAD.
El Responsable de la base de
datos (RP)deberá establecer
exactamente las MEDIDAS
TECNICAS y
ORGANIZATIVAS que el
Encargado de Tratamiento
(ET) deberá adoptar:
www.isaca.org.uy
• NIVEL DE SEGURIDAD ACORDE AL TIPO
DE DATOS PERSONALES TRATADOS
• ET REALIZAR COPIAS DE SEGURIDAD PERIÓDICAS
(SEGURIDAD FÍSICA Y LÓGICA)
• ET ESTABLECER MECANISMOS SEGUROS DE AUTENTICACION
PARA EMPRESA Y SUS CLIENTES
•CIFRAR LOS DATOS
• PROCEDIMIENTOS DE RECUPERACIÓN, MIGRACIÓN Y
BORRADO DE DATOS AL FINALIZAR RELACIÓN CONTRACTUAL
• POSIBILIDAD TERCERO INDEPENDIENTE AUDITE MEDIDAS DE
SEGURIDAD DEL ET
• ET INFORMAR VULNERACIONES DE SEGURIDAD Y
CORREGIRLAS
www.isaca.org.uy
www.isaca.org.uy
Garantías y cláusulas INFALTABLES en un contrato
ENTRE EMPRESA con el prestador de CLOUD ( o sea
entre RD y ET):
• Disponibilidad permanente del servicio por el ET,
• Portabilidad de la información: entrega final con opción para
guardar empresa o trasladar a otro proveedor,
• Jurisdicción aplicable en función de la territorialidad,
• ET asumir su responsabilidad como Encargado de Tratamiento
frente a eventuales sanciones
• ET mantener indemne al RD,
• Gestión de contrataciones para el tratamiento de la información por
el Responsable no por el ET.
www.isaca.org.uy
•Seguridad de los datos respecto a
los empleados del prestador del
servicio de Cloud. DELITO,
•Revelación de Secretos.
ACTUALIZAR CONTRATOS DE
SERVICIOS SI ESTOS YA
EXISTIERAN.
www.isaca.org.uy
¿Qué legislación es aplicable al contrato entre
su empresa y el Proveedor de Cloud respecto a
Protección de Datos Personales?
La contratación de un servicio Cloud
Computing por una empresa URUGUAYA,
que trate datos según art 3 del Decreto
414/09, debe observar
el
cumplimiento
de
todos
los
requerimientos establecidos
en la LPDP.
www.isaca.org.uy
JURISDICCION
APLICABLE ???
PROVEEDOR CLOUD COMPUTING
www.isaca.org.uy
EMPRESA URUGUAYA
CONCLUSIONES
www.isaca.org.uy
Como empresa tenemos que proteger
nuestros datos personales y los que los
depositaron en nuestra confianza
(CLIENTES), porque el ladrón digital va
detrás de esa riqueza ....
www.isaca.org.uy
¿Preguntas?
Muchas Gracias
Dra. Flavia Meleras Bekerman
[email protected]
www.isaca.org.uy